Стандартът за защита на данните за индустрията на платежните карти (PCI DSS) е набор от стандарти за сигурност, предназначени да гарантират, че предприятията, които приемат и обработват информация за кредитни и дебитни карти, правят това в безопасна и сигурна среда.
Без значение в коя индустрия работите или какъв бизнес имате, ако приемате плащания с карти и обработвате, предавате и съхранявате данни за притежателите на карти, трябва да съхранявате данните си сигурно при доставчик на хостинг услуги, който е съвместим с PCI.
$config[code] not foundСъветът за стандарти за сигурност на PCI е създаден през 2006 г. от петте основни марки кредитни карти - American Express, Visa, MasterCard, Японското кредитно бюро (JCB) и Discover. Докато всяка марка за кредитни карти има свои собствени програми за съответствие, PCI стандартите са основата за всички тях.
Макар Съветът да няма законови правомощия, ако вашият бизнес възнамерява да приеме транзакции с кредитна или дебитна карта, той ще трябва да се придържа към стандартите на PCI.
Какво представлява PCI Compliance?
PCI се състои от 12 специфични изисквания, които покриват шест цели. Основните цели са да се увеличи максимално сигурността по отношение на плащанията и да се информират търговците за това как да станат по-сигурни. А това означава изграждане и поддържане на сигурна мрежа, защита на данните на притежателите на карти и редовно тестване и наблюдение на мрежите.
Ще намерите четири различни нива на съответствие на PCI, в зависимост от обема на транзакциите, които вашият бизнес извършва за период от 12 месеца. Обемът на транзакциите произтича от общия брой извършени транзакции на Visa, включително транзакции с кредитни, дебитни и предплатени карти от търговец, който извършва бизнес като „DBA“.
Ако продавате в рамките на повече от един администратор на административни плащания, помислете за общия обем на обработените, съхранени или пренесени транзакции, за да определите нивото на валидиране.
Ако вашата компания обработва 20 000 транзакции или по-малко всяка година, или ако данните за картите се обработват единствено от доставчици, като доставчици на карти за пазаруване, вашият бизнес ще има по-малко PCI изисквания и ще бъде класифициран като Ниво 4.
Ако вашият бизнес обработва между 20 000 и 1 милион транзакции годишно, ще бъдете класифицирани като ниво 3. Фирмите, които обработват между 1 и 6 милиона транзакции с карти за 12-месечен период, се класифицират като ниво 2. Всяко ниво носи по-голям брой. на изискванията за съответствие.
Ниво 1 носи със себе си най-голям брой изисквания за съответствие, запазени за фирми, които обработват 6 милиона или повече транзакции годишно или съхраняват свои собствени данни за карти, пишат собствен код и управляват свои собствени сървъри.
Какво ще компенсира PCI за моя бизнес?
За бизнес от ниво 4 с данни за кредитни карти, съхранявани по електронен път на неговия сайт или системи за обработка с онлайн свързаност, одобрен доставчик на сканиране трябва редовно да завършва уеб сайт или мрежово сканиране. Персоналът на бизнеса трябва също така да попълни въпросник за самооценка и атестация за съответствие. Това може да струва по-малко от 60 долара на месец.
Ако фирмата ви е ниво 3, разходите, свързани с редовно сканиране на уебсайт или мрежа от одобрен доставчик на сканиране и попълване на годишния въпросник за самооценка и атестация за съответствие, могат да се увеличат до 1200 долара годишно.
За предприятия от ниво 2 тази цена може да достигне между 10 000 и 50 000 долара годишно, в зависимост от броя на IP адресите и размера на вашата мрежа.
За компании на ниво 1 на PCI съответствие, разходите могат да варират от $ 50,000 нагоре и включват не само редовно сканиране на мрежата от одобрен доставчик на сканиране, но също и удостоверение за съответствие и годишен доклад за съответствие от квалифициран оценител по сигурността.
Какво може да направи моят бизнес, за да отговори на PCI изискванията?
Както бе предложено по-горе, за да се гарантира спазването на PCI, ще трябва да получите редовно уебсайт или мрежово сканиране, извършено от одобрен доставчик на сканиране - без значение на какво ниво е класифициран вашият бизнес. Компаниите от ниво 1 също ще трябва да бъдат подпомагани от квалифициран оценител по сигурността за извършване на годишни оценки на място.
За малките предприятия, които обработват по-малко от 6 милиона транзакции с кредитни и дебитни карти годишно, спазването на стандартите за съответствие с PCI изисква изцяло само съдействието на одобрен доставчик на сканиране и работа от собствения ви персонал.
Снимка чрез Shutterstock
Още в: Какво е коментар ▼
